Mandatele pe zona de protecție a datelor au fost întotdeauna prezente în volum considerabil în activitatea Bondoc & Asociații prin natura portofoliului de clienți. Ele s-au diversificat și extins, fiind din ce în ce mai complexe pe măsura provocărilor pe care procesele de digitalizare, tot mai prezente în din ce în ce mai multe industrii, le impun

Adoptarea prevederilor Regulamentului (UE) 2016/679 privind protecția datelor personale a produs schimbări importante la nivelul firmelor și instituțiilor, iar la cinci ani de la intrarea în vigoare a acestui normativ comunitar s-a ajuns într-o fază de maturitate în care interesul pentru conformare poate fi perceput ca fiind constant ridicat din partea companiilor, mai ales a celor mari. „Echipele organizate pe aproape orice proiect mai complex urmăresc, în mod natural, aspectele de protecția datelor în analizele de fezabilitate, iar exercițiile de audit al conformării în zona de protecția datelor au devenit relativ obișnuite”, apreciază Lucian Bondoc, Managing Partner și Monica Iancu, Partner, coordonatori ai Departamentului de Protecție a Datelor din cadrul Bondoc și Asociații SCA.

Analizele avocaților indică faptul că progresul din acest domeniu a fost alimentat și de o serie de factori externi. În această categorie intră pandemia COVID-19, dar și criza geopolitică actuală pe care o traversează lumea.

De exemplu, pandemia COVID-19 a atras derularea multor activități online și, în general, a accelerat digitalizarea proceselor în cadrul companiilor. „Ca urmare, și zona de conformare, inclusiv din perspectiva protecției datelor și a aspectelor de securitate cibernetică, s-a diversificat și consolidat”, punctează Lucian Bondoc.

În ceea ce privește criza geopolitică actuală, este un factor care determină companiile să abordeze în continuare cu diligență procesele și fluxurile prin care își realizează activitățile economice și activitățile suport. „Este inclusiv o formă de protejare și eficientizare a unui patrimoniu care în cazul celor mai multe entități economice de astăzi includ, pe de o parte, ca element foarte important, baze de date creatoare de valoare economică și, pe de altă parte, elemente de inteligență artificială și automatizare”, explică Monica Iancu, Partener Bondoc și Asociații SCA.

„Contextul actual și recent, inclusiv conflictul geopolitic și pandemia, nu au produs neapărat o alterare a standardelor în materia protecției datelor personale, cel puțin raportat la sectorul privat. Dimpotrivă, prin diversificarea canalelor de comunicare și accelerarea digitalizării au stimulat presiunea pentru conformare. Conflictul geopolitic și economic mai general stimulează el însuși nevoia de așezare a resurselor, dar și de consolidare a activității, inclusiv prin asigurarea unui nivel optim de conformare. În ceea ce privește ANSPDCP, din experiența și datele noastre, aceasta a continuat să fie activă și echilibrată în acest context”, completează  coordonatorii departamentului de Protecție a Datelor al Bondoc și Asociații.

---

Descoperă oportunitățile de recrutare de pe LegiTeam! GRATUIT.

---

Interesul pentru conformare este constant și ridicat

În acest context, legislația pentru protecția datelor și interpretările Comitetului European pentru Protecția Datelor (EDPB), inclusiv cele mai recente, rămân de interes și trebuie să fie incluse în instrumentarul prin care o firmă își derulează procesele de conformare.

Totodată, companiile trebuie să aibă în vedere că, în tot acest timp, cadrul de reglementare la nivelul Uniunii Europene a continuat să se amplifice și diversifice. „Există importante acte normative (unele deja adoptate și intrate în vigoare, altele în diverse stadii de aprobare) care au sau, după caz, vor avea un impact major asupra prelucrării datelor personale și asupra proceselor care implică date în general. Vorbim de o arhitectură legislativă complexă care afectează în maniere diferite și cu intensitate diferită toate sau o parte din activitățile unei companii. Prin urmare, exercițiul dobândit prin adaptarea proceselor la cerințele Regulamentului privind protecția datelor va fi util și pentru exercițiile care vor fi necesare în baza acestui nou cadru de reglementare. De asemenea, jurisprudența CJUE a oferit în ultimii ani atât repere noi pentru a interpreta/analiza legislația în materie, cât și dovada păstrării preocupării pentru protecția activă a datelor personale”, precizează Monica Iancu.

Experții Bondoc & Asociații constată din practica de zi cu zi faptul că interesul asupra legislației protecției datelor personale rămâne ridicat, el fiind alimentat de variați vectori. Printre aceștia, avocații nominalizează: complexitatea domeniului în sine și a caracterului lui transversal;  digitalizarea proceselor și nevoia de protecție cibernetică; noutățile (de multe ori substanțiale) aduse de evoluția doctrinei (inclusiv a ghidurilor emise de diverse autorități de reglementare din Statele Membre – chiar dacă uneori contradictorii între ele), dar mai ales a jurisprudenței (atât la nivel local, cât și comunitar); sancțiunile impuse de autoritățile de reglementare și interpretările date de acestea în cazuri particulare, precum și, după caz, de instanțele de judecată; o mai mare vizibilitate a impactului pe care datele personale îl au în desfășurarea unor activități (inclusiv ca urmare a unor evenimente care au implicat prelucrări de date personale și au avut o rezonanță mai mare socială și economică).

La cinci ani de la momentul intrării GDPR în vigoare, se pot trage o serie de concluzii legate de schimbările care au intervenit pe mai multe planuri. Astfel, la nivelul operatorilor de date personale și împuterniciților acestora a fost esențială și rămâne importantă conștientizarea impactului transversal al GDPR, în sensul în care acesta se răsfrânge asupra tuturor operațiunilor și activităților desfășurate de o entitate. Iar atingerea acestui standard necesită un efort regulat.

„În acest context, componenta de training și explicitare a unor concepte și deziderate ale GDPR a fost esențială și, de asemenea, rămâne importantă pentru a asigura înțelegerea obligațiilor impuse de GDPR în rândul departamentelor suport”, nuanțează Partenerul Bondoc & Asociații.

Avocatul mai spune că domeniul protecției datelor rămâne unul aflat într-o fază în care anumite concepte încă se consolidează (de ex. prin decizii ale CJUE, ale instanțelor naționale, prin ghiduri și orientări ale EDPB și ale autorităților naționale). Ceea ce face cu atât mai actuală recomandarea de a nu deprinde un automatism în aplicarea GDPR și a reverifica conceptele prin prisma evoluțiilor cu ocazia actualizărilor proiectelor existente sau implementării de noi proiecte.

În plus, persoanele vizate au devenit mai active cu privire la protecția propriilor date personale, fiind evident că există atât solicitări fundamentate, cât și solicitări speculative.

„Este evident că majoritatea proiectelor necesită aport de expertiză și din perspectiva legislației privind protecția datelor personale. Cât privește necesitatea unei eventuale îmbunătățiri, aceasta ar viza în primul rând obiectivul unei interpretări și aplicări mai unitare a legislației protecției datelor. În general, aceasta presupune un timp mai îndelungat pentru parcurgerea, de exemplu, a unor cicluri procesuale și maturizarea unor decizii. Se observă de altfel și un număr important de solicitări de la nivelul instanțelor de judecată naționale privind emiterea de către CJUE a unor decizii preliminare, în temeiul articolului 267 din TFUE, fapt care relevă că instanțele de judecată au dileme în interpretarea GDPR. Ghidurile generale de interpretare a prevederilor GDPR sau cele de implementare a acestuia la nivel de industrie sunt importante și în mod clar există zone neacoperite de ghidurile emise până acum. Credem că marea majoritate a entităților pe care le asistăm juridic sau cu care interacționăm cu alte ocazii au înțeles că activitatea de zi cu zi a unei companii implică o diversitate de scenarii cu dimensiune relevantă pentru protecția datelor personale și că respectarea acesteia este un subiect chiar important. Sensibilitatea poate deriva fie din aspectele de fond ale chestiunii în analiză (prelucrări voluminoase de date personale cu caracter sensibil și componente automate de prelucrare) sau de natura problematicii (de exemplu, în cazul unor breșe de securitate). Din acest ultim punct de vedere, este important și timpul de reacție care este dificil de atins cu atât mai mult cu cât breșa privește procese de prelucrare complexe. Întrucât gradul de conformare din partea clienților noștri a fost și este, în general, mare, ne bucurăm că rezultatele unor astfel de procese le sunt favorabile”, comentează coordonatorii departamentului de Protecție a Datelor al Bondoc și Asociații.

---

---

Interesul față de GDPR, dar și relevanța acestui sector, sunt date și de caracterul său transversal în raport cu alte legislații și cu multiple și variate domenii de activitate. Astfel, pentru consultanți, nivelul de provocare se menține în ceea ce privește legislația privind protecția datelor personale, acesta fiind mai accentuat în cazurile în care se îmbină mai multe zone de business și arii de drept.

Avocații vin și cu exemple pentru a-și susține afirmațiile, amintind proiectele complexe care au inclus asistența în contextul organizării și implementării unor studii clinice. În aceeași categorie se înscrie și asistența cu privire la dezvoltarea unor aplicații care creează adevărate ecosisteme virtuale în domeniul utilităților, de exemplu, sau asistența legată de dezvoltarea unor aplicații bazate pe utilizarea de token-uri și cripto-valori, sau cu privire la procesul de implementare a unor servicii bancare digitale.

„Deși apreciem că, la nivelul întregului bloc comunitar, autoritățile de reglementare fac eforturi de a veni în întâmpinarea aplicării GDPR, totuși, încă există și zone unde o claritate mai mare ar fi foarte utilă. Desigur, este foarte important ca interpretările la nivel european să fie unitare, fiind cazuri în care nu toate autoritățile de reglementare au văzut similar o operațiune de prelucrare. În acest sens, inclusiv aspecte aparent de bază continuă să ridice interpretări divergente. De exemplu, s-a formulat de către Curtea Supremă de Justiție a Țărilor de Jos o solicitare de întrebare preliminară prin care CJUE este solicitată să răspundă cu privire la temeiul de prelucrare din art. 6 alin. 1 lit. f) din GDPR –„interesul legitim”, respectiv dacă noțiunea de „interes legitim” din GDPR trebuie înțeleasă strict raportat la o bază din lege, ori poate exista interes legitim atât timp cât nu contravine unei prevederi din legislație. În cauza națională care a generat sesizarea CJUE, autoritatea de reglementare a avut o interpretare care poate fi considerată restrictivă, întrucât nu acceptă ca un interes pur comercial să fie „legitim” potrivit GDPR”, atrage atenția Lucian Bondoc.

           -----------------------------------------------------

          -----------------------------------------------------

Practica este în continuă dezvoltare, incluzând mandate tot mai complexe

Odată cu trecerea timpului și consultanța acordată pe această zonă a devenit tot mai rafinată.
În toți acești cinci ani, volumul de muncă a fost unul important, cu vârfuri în jurul unor proiecte masive de tipul proceselor mai generale de implementare, al proceselor de tipul privacy by design sau al tranzacțiilor de tip M&A în industrii expuse la prelucrări de date personale (precum comerț online, servicii medicale, utilități).

„Varietatea industriilor în care activează clienți cărora le furnizăm asistență a tot crescut (inclusiv utilități, retail, FCMG, servicii financiare, farma și servicii medicale), și tipologia mandatelor primite variind natural. Dacă la început asistența noastră a fost solicitată, în principal, pe partea de implementare inițială de ansamblu a GDPR, în prezent asistența se concentrează pe activitățile de zi cu zi, în vederea conformării cu prevederile GDPR (principiul responsabilității), precum și pe identificarea riscurilor potențiale, dar și a soluțiilor pentru implementarea diferitelor proiecte punctuale (incluzând aici privacy by design și privacy by default). În plus, o parte din mandatele noastre acoperă investigații din partea autorității competente sau formularea de răspunsuri la diverse solicitări ale acesteia, asistență privind notificarea de breșe de securitate, asistență și reprezentare implicând litigii care au ca obiect sau în care sunt incidente aspecte de protecția datelor. De asemenea, am continuat să furnizăm sesiuni de instruire adresate clienților (atât angajaților, cât și managementului) în vederea asigurării unei informări continue și conforme cu noile evoluții ale GDPR”, detaliază avocații intervievați de ^BizLawyer.

Ca punct de constanță, echipa Bondoc & Asociații a  fost implicată în numeroase procese de tip due diligence pentru diverse tranzacții, multe din ele având o componentă legată de expunerea le domeniul legislației datelor personale foarte importantă.
 
În plus, o parte importantă a activității firmei de avocatură implică și sprijinirea echipei de soluționare a disputelor în reprezentarea clienților în litigii care au ca obiect aspecte de protecția datelor sau în litigii în care sunt altfel incidente aspecte de protecția datelor.

Dintre cele mai recente mandate cu grad ridicat de complexitate, interlocutorii ^BizLawyer menționează și asistență cu privire la fluxuri legate de servicii digitale, inclusiv prin crypto assets, în domeniul energetic, de cercetări științifice medicale în afara țării și în afara UE pe material uman sau de campanii de marketing, cu componentă de profilare.

„Mandatele pe zona de protecție a datelor au fost întotdeauna prezente în volum considerabil în activitatea noastră prin natura portofoliului de clienți. Ele s-au diversificat și extins, fiind din ce în ce mai complexe pe măsura provocărilor pe care procesele de digitalizare, tot mai prezente în din ce în ce mai multe industrii, le impun”, a nuanțat Monica Iancu.

În prezent, asistența echipei Bondoc & Asociații cuprinde și mandate în jurul unor proiecte mari de tipul proceselor mai generale de implementare, al proceselor de tipul privacy by design sau al tranzacțiilor de tip M&A în industrii expuse la prelucrări de date personale (precum comerț online, farma și servici medicale, utilități, retail, FCMG, servicii financiare), precum și legat de activități de conformare internă, inclusiv investigații disciplinare și de tip forensic.

De asemenea, echipa de avocați consiliază în mod constant clienți din domeniul farmaceutic și servicii medicale în legătură cu o gamă completă și complexă de proiecte și programe necesar a fi implementate de companie fie la nivel de grup, fie local. Cu o abordare holistică, întreaga echipă oferă consiliere și asistență juridică pe diverse paliere. Printre acestea se evidențiază: campaniile de marketing, inclusiv prin studii de piață, segmentarea și/sau profilarea digitală, implicațiile studiilor clinice atât în legătură cu pacientul înrolat în studiu, cât și cu doctorii și ceilalți actori din domeniul medical implicați în realizarea studiului, aspectele de protecția datelor în materia farmacovigilenței, relația contractuală cu diferiți furnizori de servicii, inclusiv din perspectiva calificării părților, de cele mai multe ori rolurile fiind multiple etc.

În același timp, avocații asistă în mod constant pe aspecte de protecția datelor personale în contextul operării uneia dintre cele mai extinse rețele de social media, problematica fiind, de asemenea, variată și de cele mai multe ori legată și de aspecte de dreptul comerțului electronic.  
 
„Totodată, asistăm clienți, care își desfășoară activitatea cu clienții finali prin intermediul instrumentelor digitale, inclusiv legat de digitalizarea serviciilor de energie. Astfel, acordăm asistență în legătură cu toate aspectele de protecție a datelor referitoare la o platformă administrată de client, disponibilă în întreaga lume, concepută ca un instrument digital care vizează transformarea pieței de energie inclusiv a proiectelor regenerabile. În general, asistența acordată de noi acoperă frecvent probleme complexe de protecția datelor în numeroase industrii. Dat fiind faptul că o parte importantă a clienților noștri este alcătuită din entități cu prezență internațională, asistența presupune frecvent contacte cu case de avocatură care asistă clienți în diverse jurisdicții sau cu departamentele de legal de la nivel central / global”, mai spune Monica Iancu.

La nivelul Bondoc & Asociații, practica de protecție a datelor a fost privită încă de la început ca una de sine stătătoare. „Asistăm numeroși clienți și suntem implicați într-o multitudine de proiecte privind protecția datelor. Mandatele pe zona de protecție a datelor au fost întotdeauna prezente în volum considerabil în activitatea noastră prin natura portofoliului de clienți. Ele s-au diversificat și extins, fiind din ce în ce mai complexe pe măsura provocărilor pe care procesele de digitalizare, tot mai prezente în din ce în ce mai multe industrii, le impun. Anticipăm că volumul și diversitatea activității noastre vor continua să crească și în contextul legislației mai ample cu privire la date aflată în diverse de adoptare la nivel european. Protecția datelor devine parte dintr-un proces de conformare mai complex care acoperă zona de date în general ca element de patrimoniu esențial al oricărei companii din prezent. Strategiile de date devin un instrument inevitabil în configurarea activității economice în general”, au conchis Lucian Bondoc și Monica Iancu.